implementierung eines datenschutz-management … · 2018-07-03 · datenschutz -management-system...
TRANSCRIPT
IMPLEMENTIERUNG EINES DATENSCHUTZ-MANAGEMENT-SYSTEMSNACH DSGVO
Dr. Wolfgang Tankcatworkx GmbH - 2018
• Motivation und Zielsetzung• Konzept und Implementierung von Verfahrensverzeichnissen• Ausblick-Auskunfts- und Meldesystem-Anonymisierung von Benutzern-Special Midsummer Day Offer
• Take Aways
2
AGENDA
WAS TUN? / WARUM SOLLTE ICH WAS TUN?
4
Erhöhung der Haftungshöchstgrenze von max. 300.000 Euro laut BDSG auf bis zu 20 Millionen Euro oder 4% des weltweiten Umsatzes
5
HAFTUNGSRISIKIO
Mit der Europäischen Datenschutz-Grundverordnung (DSGVO) wird nach Art. 5 Abs. 2 der Begriff der Rechenschaftspflicht eingeführt, nach dem Verantwortliche die Einhaltung des Datenschutz nachweisen müssen.
6
RECHENSCHAFTSPFLICHT
Verfahrensverzeichnis- Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten
- z.B. Bewerbungsverfahren, Newsletterversand, Lohnabrechnung
Auskunftssystem- Bearbeitung von Anfragen von Betroffenen
- Anfragen: Auskunft, Löschung, Einschränkung, Berichtigung, Datenübertragbarkeit, Widerspruch
Meldesystem- Meldung möglicher Datenpannen / Datenschutzverletzungen
7
DATENSCHUTZ-MANAGEMENT-SYSTEM (DSMS)
Pseudo anonymisi
erungAno
nymisierung
Rechte
Fristen
Ernennung DSB
Mitarbeiter vereinbarung
Auskunftssystem IT-
Sicherheits
richtlin ien
Datenschutz-erklörung
Melde-system
Verfahrens-verzeichnis
• keine Insellösung / keine neue ApplikationØ Individualentwicklung• Umsetzung in der bestehenden JIRA und Confluence
Umgebung nach catworkx Philosophie
“ Jira First “
8
ZIELSETZUNG FÜR DIE IMPLEMENTIERUNG BEI CATWORKX
Adaption von Lösungsbausteinen: Qualitäts-Management, Change- und Release-Management
9
LÖSUNGSFINDUNG
• Pflege relevanter Informationsbestandteile der Verfahren und TOM sowie der Datenschutzfolgenabschätzung in Jira mit begleitender Dokumentation in Confluence
• Lifecycle für die Revision der dokumentierten Verfahren und TOM (Erstellen, Prüfen, Freigabe, Review und Redesign)
• Automatisierte Generierung der Dokumentation und Export aus Confluence• Dynamische Einordnung in ein Verfahrensverzeichnis• Versionierung der Dokumentationen nach Review (Änderungshistorie wird in
Confluence nachvollziehbar)
10
DSMS ALS CUSTOMIZING-ANSATZ
• Dokumentation der Verfahren• Lebender Prozess (Lifecycle) • Aktualisierung und Überprüfung der
Verfahren
11
DSMS ARCHITEKTUR (VERZEICHNISSE)
• Erstellung der Dokumentation• Einordnung in ein
Verfahrensverzeichnis• Export
Approval-Cycle• 4 Augen Prinzip• Überprüfung der Verfahren/TOM auf DSGVO Konformität • Genehmigung durch einen DSB oder Experten
Lifecycle• Aktualisierung und Überprüfung der Verfahren/TOM• Release-Management (Versionierung)
12
VERFAHREN UND TOM WORKFLOW
13
VOM WORD-FORMULAR ZUR VORGANGSMASKE
14
VERFAHRENSPUBLIKATION NACH CONFLUENCE
Issue Publisher for Jira
15
DSMS-DOKUMENTENSTRUKTUR IN CONFLUENCE
16
DYNAMISCHE VERFAHRENSVERZEICHNISSE
17
JÄHRLICHE ÄNDERUNGSNACHWEISE ODER NACH AUDITS
18
DASHBOARD FÜR DIE OPERATIVE STEUERUNG
19
DSMS ARCHITEKTUR (ERWEITERT)
20
AUSKUNFTSSYSTEM ÜBER JIRA SERVICE DESK
21
MELDEPROZESS MIT 72H ESKALATIONS-AUTOMATION
1
2
3
4
JIRA BENUTZER ANONYMISIEREN
Jira mit Max Mustermann
Jira ohne Max Mustermann
CSV Steuerdatei für die Ersetzung vorbereiten
2 SQL Dateien mit Unix Tools daraus erzeugen
Jira Herunterfahren
SQL Dateien ausführen
Jira Starten
Jira vollständig reindizieren
22
• Erweiterung des Auskunfts- und Meldesystems • Verbessertes Reporting (KPIs)• Implementierung von Audits• Aus der Inhouse-Anwendung für den Eigenbedarf wird ein
Produkt
23
AUSBLICK
24
DSGVO2GO SYSTEMKOMPONENTEN
Angebotsbundle:
1. Lizenzen für Atlassian Software plus Apps (ohne Optionen)2. Jira Konfigurationstemplate (als Backup-Zip-File) und Confluence Space-Template
3. 2 PT Atlassian Consulting (Senior Expert Level)
25
SPECIAL MIDSUMMER DAY OFFER
für 25 User: 7.500€*
*) DSGVO2GO auch ohne Lizenzen für bestehende Jira / Confluence-Umgebungen in Verbindung mit erhöhtem Roll-Out-Aufwand nach Absprache lieferbar.
• Der catworkx Ansatz für ein Datenschutz-Management-System ist ein Jira-zentrierter Dokumentationsansatz mit Dokumentenspeicher in Confluence
• Für das Auskunfts- und Meldesystem eignet sich am besten ein Jira Service Desk
26
TAKE AWAYS I
• Unser Issue Publisher for JIRA ist der Kitt, um die Dokumentation automatisch zu erzeugen
27
TAKE AWAYS II
Struktur ist noch kein Content.
28
TAKE AWAYS III
Die catworkx Implementierung wurde von unserem Datenschutzbeauftragten “abgenommen’ und wird als Blaupause auch anderen Unternehmen zur Verfügung gestellt
29
TAKE AWAYS IV
Anonymisierung von Usern ist bedingt durch individuelleDatenstrukturen und App-Abhängigkeiten ein Customizing Thema, wozu catworkx eine Basislösung in der Schublade hat.
30
TAKE AWAY V
catworkx GruppeDeutschland | Schellerdamm 16 | 21079 Hamburg | Tel. +49 40 89 06 46-0 | Fax +49 40 89 06 46-66 | [email protected] | www.catworkx.comÖsterreich | Gußhausstr. 23/1/18 | 1040 Wien | Tel. +43 1 23 69 317-22 | Fax +43 1 23 69 317-9 | [email protected] | www.catworkx.atSchweiz | Bahnhofplatz 17 | 8400 Winterthur | Tel. +41 52 560 22-20 | Fax +41 52 560 21-00 | [email protected] | www.catworkx.ch
Vielen Dank für Ihre Aufmerksamkeit und weiterhin gute Gespräche.